XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任
XSS: 跨站脚本攻击
原名为Cross Site Scriptin,为避免和网页层级样式表概念混淆,
另名为XSS,是为跨站脚本攻击,XSS是一种web应用中的计算机安全漏洞,
允许恶意web用户将JS代码植入到提供给其他用户的页面中
比如,在博客文章中嵌入JS代码,在其他用户浏览时执行,从而做到越权的操作
CSRF:Cross-site request forgery 跨站请求伪造
是一种挟持用户在当前已登录的web应用上执行非本意操作的攻击方式
又称XSRF,冒充用户发起请求(在用户不知情的情况下),
完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)。
通常来说,CSRF跨站请求伪造是由XSS实现的,所以CSRF时常也称为XSRF(用xss的方式实现伪造请求)
XSS偏向于代码实现,CSRF更偏向于一个攻击结果,只要发起了冒牌请求那么就是CSRF
简单来说,条条大路(XSS,命令行)通罗马(CSRF,XSRF)